R: ...E ADESSO CHE SONO ENTRATI?!

Io  sarei pių per una sequenza contraria:
1) Capire come e dove sono entrati, cosa hanno fatto o stanno facendo,
poichč non č detto
che convenga in ogni caso spegnere l'interruttore e staccare la patch
immediatamente.
2) Verificare tutti i punti di compromissione
3) Pianificare una riconfigurazione del/dei sistemi che non riproponga le
lacune in questione
4) Valutare un eventuale aggiunta di HoneyPots e/o ids
5) Cominciare il ripristino seguendo tutti i dogmi e i consigli del sig.Cert
e della sig.ra Sans ;)

Ciao
	Maurizio

-----Messaggio originale-----
Da: Daniel Marzini [mailto:daniel.marzini@libero.it]
Inviato: martedė 13 maggio 2003 21.45
A: ml@sikurezza.org
Oggetto: Re: ...E ADESSO CHE SONO ENTRATI?!


si, in realta' e' proprio quello che volevo chiedere :)
io, personalmente e anche grazie a quello che avete scritto,ora, agirei in
questo modo:
1.ripristinare il prima possibile il servizio/i compromessi
    1.1 backup( per fare i compiti i casa e per servizio)
    1.2 cercare di riportare la macchina in questione ad una situazione
accettabile in attesa di una soluzione ottimale
    1.3 soluzione ottimale: pialla, reinstalla, e...
        1.3.1 se la macchina l'hai fatta tu.... forse dovresti capire a cosa
e' dovuto il tuo "fallimento"
        1.3.2 altrimenti, sperando che tu sia meglio del tuo predecessore,
preparare la macchina.
2.studio del backup
    2.1 capire come e da dove sono entrati
    2.2 possibili compromissioni di altre macchine
    2.3 ???

spero, abbiate consigli, link o altro da darmi.


sayonara,
Daniel Marzini a.k.a. ziomarzo


ps: ovviamente, ho tralasciato tutti quei controlli e politiche di sicurezza
non dipendente da un singolo host.


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List